BSDFreaks.nl

For starters and advanced *BSD users

Tags

brand dmi enschede FreeBSD harddisk Hardware Howto's Howto's move new ports server serverruimte universiteit utwente

Rob

[FreeBSD] Ports security meldingen

by

Er is een security advisory verschenen van de ports‚ hierin staat beschreven welke ports een security probleempje hebben.
[quote]
FreeBSD-SN-02:05 Security Notice
The FreeBSD Project

Topic: security issues in ports
Announced: 2002-08-28

I. Introduction

Several ports in the FreeBSD Ports Collection are affected by security
issues. These are listed below with references and affected versions.
All versions given refer to the FreeBSD port/package version numbers.
The listed vulnerabilities are not specific to FreeBSD unless
otherwise noted.

These ports are not installed by default‚ nor are they “part of
FreeBSD” as such. The FreeBSD Ports Collection contains thousands of
third-party applications in a ready-to-install format. FreeBSD makes
no claim about the security of these third-party applications. See
for more information about the
FreeBSD Ports Collection.

II. Ports

+————————————————————————+
Port name: acroread5
Affected: versions < acroread-5.06 Status: Fixed Insecure temporary file handling. The acrobatviewer‚ acroread4‚ ghostscript‚ gv‚ mgv and xpdf ports can also display PDF files.

+————————————————————————+
Port name: aide
Affected: versions < aide-0.7_1 Status: Fixed The default aide.conf silently fails to check subdirectories‚ even though it appears to be configured to do so. +------------------------------------------------------------------------+ Port name: apache+mod_ssl Affected: versions < 1.3.26+2.8.10 Status: Fixed A child process of the Apache server can crash if it receives a request for the contents of a directory in which a maliciously constructed .htaccess file has been placed. In the default configuration‚ another child will be spawned‚ and the crash will be logged. Therefore the bug should be insignificant for most users.
+————————————————————————+
Port name: bugzilla
Affected: versions < bugzilla-2.14.2 Status: Fixed "Various security issues of varying importance."
+————————————————————————+
Port name: Canna
Affected: versions < ja-Canna-3.5b2_3 Status: Fixed A remotely exploitable buffer overflow exists in the cannaserver daemon. Although previously corrected‚ the patch containing the correction was inadvertently removed from the port skeleton.


+————————————————————————+
Port name: ethereal
Affected: versions < ethereal-0.9.6 Status: Fixed Buffer overflows in BGP‚ IS-IS‚ and WCP dissectors.

+————————————————————————+
Port name: fam
Affected: versions < fam-2.6.8 Status: Fixed "Unprivileged users can potentially learn names of files that only users in root's group should be able to view."

+————————————————————————+
Port name: isakmpd
Affected: versions < isakmpd-20020403_1 Status: Fixed ``Receiving IKE payloads out of sequence can cause isakmpd(8) to crash.''

+————————————————————————+
Port name: irssi
Affected: versions < irssi-0.8.5 Status: Fixed Maliciously long topic can crash program remotely.
+————————————————————————+
Port name: kdelibs2 and kdelibs3
Affected: versions < kdelibs2-2.2.2_1 versions < kdelibs3-3.0.2_4 Status: Fixed A man-in-the-middle attack is possible against Konqueror and other KDE applications which use SSL.
+————————————————————————+
Port name: krb5
Affected: versions < krb5-1.2.5_2 Status: Fixed Contains an overflow in Sun RPC XDR decoder.


+————————————————————————+
Port name: linux-netscape6‚ netscape7‚ linux-mozilla‚ and mozilla
Affected: versions < mozilla-1.0_1‚1 (mozilla) versions < linux-mozilla-1.1 (linux-mozilla) All versions (others) Status: Fixed (linux-mozilla and mozilla) Not fixed (others) Malicious Web pages or files can cause loss of X session. When the X server receives a request to display an enormously large scalable font‚ the server exits abruptly‚ killing all its clients. This has been confirmed only with XFree86 4.2.0‚ but there is evidence that XFree86 3.3.6‚ the X font server‚ and Xvnc behave the same way. Unpatched Netscape (major version 6 or 7) and Mozilla browsers do not limit the size of fonts which Web pages or files can specify‚ thus triggering the bug. Scalable fonts may be disabled as a workaround.
+————————————————————————+
Port name: mm
Affected: versions < mm-1.2.0 Status: Fixed May allow the local Apache user to gain privileges via temporary files.
+————————————————————————+
Port name: mpack
Affected: versions < mpack-1.5_2 Status: Fixed Buffer overflow which might be triggered when mpack is used to process data from a remote source (email‚ news‚ and so on).
+————————————————————————+
Port name: mozilla‚ linux-mozilla
Affected: versions < mozilla-1.0.rc1_2‚1 (mozilla) versions < linux-mozilla-1.0_1 (linux-mozilla) Status: Not fixed An overflow exists in the Chatzilla IRC client. It can cause Mozilla to crash even if the demonstration page does not cause the crash. According to Robert Ginda‚ the bug does not allow execution of malicious code.


+————————————————————————+
Port name: newsx
Affected: versions < newsx-1.4.8 Status: Fixed Format string bug reported by Niels Heinen .
+————————————————————————+
Port name: openssh‚ openssh-portable
Affected: versions < openssh-3.4 (openssh) versions < openssh-3.4p1 (openssh-portable) Status: Fixed Buffer overflow can lead to denial of service or root compromise.
+————————————————————————+
Port name: php
Affected: versions mod_php4-4.2.0 and mod_php4-4.2.1
versions php4-4.2.0 and php4-4.2.1
Status: Fixed
On i386 architecture‚ may be remotely crashed; on other architectures‚
may allow execution of arbitrary code with the privileges of the
Web server by anyone who can send HTTP POST requests.


+————————————————————————+
Port name: linux-png and png
Affected: versions < linux-png-1.0.14 versions < png-1.2.4 Status: Fixed Malformed images (for example‚ in Web pages) can cause applications to crash. Execution of malicious code may be possible.





+————————————————————————+
Port name: postgresql7
Affected: versions < postgresql7-7.2.2 Status: Fixed Multiple buffer overruns may allow execution of malicious code. Remote attack is possible only when the server is configured to accept TCP/IP connections‚ which is not the default.



+————————————————————————+
Port name: samba
Affected: versions < samba-2.2.5 Status: Fixed Possible buffer overflow.
+————————————————————————+
Port name: squid24
Affected: versions < squid-2.4_10 Status: Fixed Buffer overflows may allow remote execution of code.
+————————————————————————+
Port name: super
Affected: versions < super-3.20.0 Status: Fixed Local root exploit.
+————————————————————————+
Port name: webmin
Affected: versions < webmin-0.990_3 Status: Fixed "If a webmin user is able to view print jobs‚ he can execute any command as root."
+————————————————————————+
Port name: zmailer
Affected: versions < zmailer-2.99.51_1 Status: Fixed When using IPv6‚ a remote buffer overflow during the processing of the HELO command is possible. Reported by 3APA3A <3APA3A@SECURITY.NNOV.RU>.
+————————————————————————+

III. Upgrading Ports/Packages

To upgrade a fixed port/package‚ perform one of the following:

1) Upgrade your Ports Collection and rebuild and reinstall the port.
Several tools are available in the Ports Collection to make this
easier. See:
/usr/ports/devel/portcheckout
/usr/ports/misc/porteasy
/usr/ports/sysutils/portupgrade

2) Deinstall the old package and install a new package obtained from

[i386]
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/All/

Packages are not automatically generated for other architectures at
this time.

[/quote]

Apache: Su-exec voor php

by

Met dank aan [mail=matthijs@comkraq.net]mathijs[/mail] kunnen we deze howto su-exec php under apache beschikbaar stellen.
Zoals de titel waarschijnlijk al zegt gaan we er voor zorgen dat php ook onder de gebruiker draait die je ingesteld hebt bij je virtualhost.

[b]1. Port Upgrade[/b]

Je moet eerst zorgen dat je ports uptodate zijn.
Volg de volgende aanwijzingen om je ports te updaten.

[shell]
# cd /usr/ports
# cp /usr/share/examples/cvsup/ports-supfile ports-supfile
# vi ports-supfile
[/shell]

pas het volgende aan:

[file]
*default host=CHANGE_THIS.FreeBSD.org
[/file]

naar:
[file]
*default host=cvsup3.nl.freebsd.org
[/file]

typ nu: escape :wq om uit vi te gaan
en daarna:

[shell]
# cvsup -g -L 2 ports-supfile om je ports te updaten
[/shell]

[b]2. Apache + suexec via port[/b]

Oke eerst gaan we apache installeren:
hint(s): -pas nadat je de Makefile gedownload hebt de mingid en minuid aan
-In de Makefile staat dat php alleen vanuit /home gestart mag worden. Pas dit naar de directory aan waar jij je webpagina’s/gebruikers hebt.

[shell]
# cd /usr/ports/www/apache13/
# wget http://www.matthijs.vuurwerk.nl/howto/Makefile
# make
# cd work/apache_1.3.26
# wget http://www.localhost.nl/patches/apache-php-suexec-patch
# patch -p1 < apache-php-suexec-patch # vi src/support/suexec.c [/shell] Zoek in de file naar php Vervang nu het volgende: php3.cgi vervangen door php3 php4.cgi vervangen door php #define HAVECGIDIR vervangen door /* #define HAVECGIDIR */ [shell] # make # cd ../../ # make install [/shell] en je zou nu een apache + suexec moeten hebben [shell] cd /usr/ports/lang/php4 make install clean [/shell] [shell] cd /usr/ports/lang/php3 make install clean [/shell] de opties bij php zijn naar eigen keus [b]3. httpd.conf aanpassen.[/b] Ga naar /usr/local/etc/apache/httpd.conf Pas bij de volgende secties in je httpd.conf het volgende aan. [file]# Dynamic Shared Object (DSO) Support [/file] zet bij het volgende een # neer comment het dus. [file]#LoadModule mime_magic_module libexec/apache/mod_mime_magic.so [/file] zet bij het volgende ook een # neer comment het dus. [file]#AddModule mod_mime_magic.c [/file] Zoek nu naar het stukje: [file]# To use CGI scripts: # #AddHandler cgi-script .cgi [/file] En zet er dit bij: [file]# To use CGI scripts: # AddHandler cgi-script .cgi AddHandler cgi-script .pl AddHandler cgi-script .php AddHandler cgi-script .php3 AddHandler cgi-script .php4 AddHandler cgi-script .phtml [/file] Ga vervolgens naar sectie VirtualHost en zet het stuk wat bij Vhost voorbeeld staat erin. [b]4. Vhost voorbeeld[/b] [file]
ServerAdmin jou@email.adress
DocumentRoot /home/users/matthijs/www # zet hier je eigen path neer naar je html etc files.
ServerName www.bsdfreaks.nl # je domein
ServerAlias bsdfreaks.nl # je domein
User “#1001” # userid van $user waar de html files etc staan.
Group “#1000” # groepid
ErrorLog /home/logs/bsdfreaks-error.log # path naar de errorlog
TransferLog /home/logs/bsdfreaks-access_log #path naar de accesslog

# pas dit aan naar dezelfde directory aan DocumentRoot.
Options Indexes ExecCGI FollowSymLinks MultiViews
AllowOverride Options AuthConfig FileInfo Indexes Limit
Order allow‚deny
Allow from all


[/file]

Als je vragen en of opmerkingen hebt. Kom dan op IRC of mail [mail=matthijs@comkraq.net]mathijs[/mail]!

IRCD Howto

by

Op IRC is het verzoek geuit voor een IRCD-Howto.
Zoals voor veel software geld zijn er heel veel verschillende IRCD versies (IRCD = Internet Relay Chat Daemon). In deze howto gaan we de IRC server installeren die we voor irc.bsdfreaks.nl gebruiken. Deze staat ook bekend als de IRCD die er gebruikt wordt op [url=http://www.ircnet.com/]IRCnet[/url].

Ga naar de directory waar je de sources wilt hebben. Deze server zit wel in de ports maar heeft de voorkeur om handmatig gebouwd te worden aangezien we een patch erover heen willen halen.

Maak een account aan (bijvoorbeeld ircd) en voer alles uit onder dit account!

We gaan nu de sources downloaden en een patch die extra functionaliteit toevoegd er overheen halen.

[shell]
# fetch ftp://ftp.funet.fi/pub/networking/services/irc/server/irc2.10.3.tgz
# fetch http://layer2.virtualave.net/hemp.diff
# tar -xzvf irc2.10.3.tgz
# patch -p0 < hemp.diff [/shell] Nu we hiermee klaar zijn gaan we de server compilen. Zet TARGET naar de locatie waar je de executables wilt plaatsen. Als je geen ipv6 support wilt: [shell] # TARGET=/home/ircd/ # ./configure --prefix=$TARGET # cd i386-unknown-freebsd4.x/ # vi config.h [/shell] Als je ipv6 support wilt: [shell] # TARGET=/home/ircd/ # ./configure --prefix=$TARGET --enable-ip6 # cd i386-unknown-freebsd4.x/ # vi config.h [/shell] Nu gaan we config.h wijzigen. Het commentaar dat hierbij geplaatst is‚ is vrij duidelijk. Mocht je hier toch moeite mee hebben plaats het dan als commentaar hierbij of contact mij via ircd@laagje.net. [shell] # make server # make install-server [/shell] Nu gaan we de ircd configureren. Voordat we dat doen moeten we even je IRC-operator password encrypten. [shell] # $TARGET/sbin/ircd-mkpasswd plaintext: joGWJ8hggyW2Y [/shell] Kopieer de output hiervan want deze moeten we in ircd.conf zetten. [shell] # cd $TARGET/etc/ # vi ircd.conf [/shell] Als het goed is is dit een leeg bestand. Daarin gaan we onderstaande neerzetten. Let op! Als je ipv6 support aan hebt gezet moeten alle : (dubbele punten) % (procenten) worden. Als je wilt weten wat het allemaal betekend moet je even in ircd.example.conf kijken in de doc directory. [file] M:[b]hostnaam[/b]:[b]ip[/b]:[b]Omschrijving[/b]:6667 A:[b]admin nick[/b]:[b]emailadress[/b]:[b]netwerknaam[/b]: P::::6666: P::::6667: P::::6668: Y:1:90:300:4:4000000 Y:100:300::1000:800000:4.2:8.4 Y:666:900::1000:8000000:10.0:30.0 Y:2:90:300:10:4000000 Y:10:90::100000:512000:10:32 Y:11:90::100:512000:0.1:0.2 Y:12:90::100:512000:20:100 Y:13:90::100:512000:5:100 Y:14:90::100:512000:10000.0:100000.0 I:*@*::::100 O:*@*:[b]wachtwoord[/b]:[b]nicknaam[/b]::666 O:*@*:qRKOzqVqBBWRg:laagje:666 K:oglada.wszystko.co.jest.w.seca.ll.pl:Bots:*: [/file] Nu kan je als je op ircd zit met /oper nicknaam wachtwoord IRC-operator worden. We gaan de IRCD starten. [shell] # $TARGET/sbin/ircd [/shell] Om even te controleren of ie het doet: [shell] # telnet localhost 6667 Trying 127.0.0.1 Connected to localhost Escape character is '^]'. NICK test user test test test test [/shell] Dat was het! Veel plezier ermee maar ik hoop natuurlijk dat jullie gewoon op irc.bsdfreaks.nl blijven komen! Als er vragen zijn jullie weten me te vinden!

[FreeBSD] ADSL Howto (mxstream) via SIP_Spoof

by

M. Possamai schreef deze howto en wij mochten hem hier publiceren daarvoor onze dank.
Deze howto zet je verbinding op via SIP Spoof‚ hiervoor dient wel je modem getweaked te zijn.
SIP-Spoofing (Static IP Spoofing) is een manier om je adsl modem de verbinding te laten maken‚ maar door middel van wat routing truukjes er toch voor te zorgen dat je public IP wel aan je FreeBSD bak hangt.
Dus geen problemen meer met pptp verbindingen‚ maar ook geen gezeur met portforwarding omdat je toevallig een webserver hebt draaien‚ dit werkt nu gewoon allemaal direct.

[b]Het configureren van de modem.[/b]

[u]Stap 1[/u]
Wees er zeker van dat het modem een Alcatel Speedtouch Pro is (Zie [url]http://home.wanadoo.nl/vs_waart/alcatel[/url])

[u]Stap 2[/u]
Maak met een browser verbinding met het modem (10.0.0.138)

[u]Stap 3[/u]
Gooi alle ‘Bridge’‚ ‘PPP’‚ ‘CIP’‚ ‘Phonebook’ en ‘PPTP’ instellingen weg en zet DNS en DHCP uit.

[u]Stap 4[/u]
Ga naar ‘Phonebook’ en maak een nieuwe entry: Name: SIP_SPOOF VPI: 8 VCI:48 Type:ppp

[u]Stap 5[/u]
Klik de ‘Save All’ knop

[u]Stap 6[/u]
Ga weer na ‘PPP’ en klik ‘config’. Vul bij Authentication je ADSL/MxStream username en password in‚ en verwijder het vinkje bij NAT/PAT. Verder vul je als Local IP ‘1.2.3.4’ in en kies je als mode ‘Always-on’

[u]Stap 7[/u]
Klik ‘Apply’ en dan ‘Save All’

[u]Stap 8[/u]
Ga naar ‘Routing’. De eerste tabel kan je helemaal met rust laten. Scroll helemaal naar beneden naar de IP Route table.
Verwijder daar alles‚ behalve 127.0.0.1/32-any-127.0.0.1-loop en 10.0.0.0/8-any-10.0.0.138-eth0
Voeg een route toe met de volgende waarden: Destination: Source:Any Gateway:10.0.0.138

[u]Stap 9[/u]
Klik ‘Save All’

[u]Stap 10[/u]
Ga naar ‘PPP’ en zet de ‘SIP_SPOOF’ op ‘on’

[u]Stap 11[/u]
Klik ‘Apply’ en dan ‘Save All’

Het Configureren van de modem is nu klaar.
Log nu in op je FreeBSD machine en ga door met de volgende stappen:

[b]FreeBSD Instellen.[/b]

[u]Stap 12[/u]
Configureer met ifconfig je netwerkinterface naar het adsl modem met je ADSL ipnummer (bv. 213.84.82.51) en gebruik 255.255.255.255 als netmask
Voorbeeld:
[shell]ifconfig xl0 213.84.123.123/32[/shell]

[u]Stap 13[/u]
Voeg een route naar het modem toe met:
[shell]route add -net 10.0.0.138/32 -interface -cloning[/shell]

[u]Stap 14[/u]
Stel vervolgens het adsl modem in als default route:
[shell]route change default 10.0.0.138[/shell]
(of ‘add’ ipv ‘change’ als je nog geen default route had)
Als alles goed gegaan is zou je nu verbinding moeten hebben en de buitenwereld kunnen pingen.

Om dit statisch in je systeem te hebbn (dus dat het werkt bij het opstarten) typ je het volgende in /etc/rc.conf:
[file]ifconfig_=”inet netmask 255.255.255.255″
static_routes=”spt mxs”
route_spt=”-net 10.0.0.138/32 -interface -cloning”
route_mxs=”default 10.0.0.138″[/file]

Hou rekening met eventueel draaiende firewalls en NAT. Alles wat eerst op tun0 of ng0 draaide moet je nu aanpassen naar je netwerkkaart.

Deze howto is grotendeels mogelijk gemaakt door Enriko Groen.

[b]Bronnen[/b]
[url]http://www.xs4all.nl/~possamai/adsl/sip_spoof[/url]
[url]http://home.wanadoo.nl/vs_waart/alcatel[/url]
[url]http://www.jelmerbarhorst.com/mxstream.html[/url]
[url]http://jp.dhs.org/~jp/[/url]

[FreeBSD] ADSL Howto (mxstream) via pptp-client

by

M. Possamai schreef deze howto en met zijn toestemming mogen wij hem hier publiceren‚ daarvoor onze dank.
Deze ADSL howto laat je verbinding maken via pptp‚ hiervoor hoef je [b]niet[/b] je modem te tweaken.

Allereerst dank aan Marcel de Vries die uitgevonden heeft dat het gebruik van pptp-client een irritant bufferprobleem oplost dat ik met mpd-3.7 had.

Deze howto gaat er wel vanuit dat je de standaard instellingen wel goed hebt
staan (ethernetkaart op 10.0.0.150 enzo) en dat je kunt pingen naar je modem (ping 10.0.0.138) en dat je natuurlijk wel het ethernet modem hebt en niet de usb-versie. (telnet anders naar 10.0.0.138‚ je zou een prompt moeten krijgen:

Staat je modem nog niet goed geconfigureerd kijk dan eerst op de volgende link voor de instellingen of een eventueel configuratie-script (werkt alleen onder windows). [url]http://www.mxstream.nl/support/index.htm[/url]
[shell]# telnet 10.0.0.138
Trying 10.0.0.138…
Connected to modem.adsl.xs4all.nl.
Escape character is ‘^]’.
User :

[/shell]

Ohja‚ vergeet niet dat als je gebruikers op je systeem denkt toe te laten dat je een password op dat modem moet zetten‚ staat zo slordig als gebruikers je modem kunnen rebooten he 🙂

[b]Gebruik pptp-client[/b]
mpd ging vanaf FreeBSD-4.5 ineens moeilijk doen bij mij en ik kreeg out-of-buffers meldingen. De oplossingen bij het mpd gedeelte werkten niet. Gebruik van pptp client loste het op. Hier de uitleg om het voor mekaar te krijgen.
Ga naar:
[shell]/usr/ports/net/pptpclient/
[/shell]
en tik daar als root:
[shell]make all install clean
[/shell]
pptp-client staat nu geinstalleerd.

[b]pptp Configuratie files[/b]
pptp-client maakt gewoon simpel gebruik van de configuratiefile van ppp. En die staat in:
[shell]/etc/ppp/
[/shell]

Download nu het volgende bestand en plaats die in die directory‚ of als je
ppp.conf ook nog een andere verbinding bevat (voor bijv. een telefoonmodem) voeg dan de text er aan toe.
[url=http://www.bsdfreaks.nl/files/pptp/ppp.conf]ppp.conf[/url]

Mocht je NAT willen gaan gebruiken (meerdere pc’s via deze verbinding laten internetten) dan moet je de # voor de onderste regel van het bestandje even weghalen.

[b]De verbinding testen[/b]

Alles is nu eigenlijk klaar dus kan je gaan testen. typ:

[shell]/usr/local/sbin/pptp 10.0.0.138 MXSTREAM &
[/shell]

Als het goed is krijg je dan wat rotzooi op je scherm en dan weer een prompt
Dan ben je nu als alles goed gegaan is ingelogged.
Probeer het even door de dns server van xs4all te pingen.
[shell]# ping 194.109.6.66
[/shell]
En dan hoor je iets te krijgen als:
[shell]64 bytes from 194.109.6.66: icmp_seq=0 ttl=252 time=16.780 ms
[/shell]

[b]/etc/resolv.conf[/b]
Vergeet niet dat je in /etc/resolv.conf de nameservers moet zetten In mijn /etc/resolv.conf staat nu dit:
[file]search xs4all.nl
nameserver 194.109.6.66
nameserver 194.109.9.99
[/file]

[b]Automatisch starten bij het booten[/b]
Uiteraard wil je niet iedere keer na het opstarten dat in hoeven typen‚ plus‚ MOCHT het down gaan zou het handig zijn als hij opnieuw zou verbinden uit zichzelf. De directory waar de opstartscripts staan is de volgende:

[shell]/usr/local/etc/rc.d/
[/shell]

Download het volgende bestand en zet die in die directory.
[url=http://www.bsdfreaks.nl/files/pptp/mxstream.sh]mxstream.sh[/url]

Daarna moeten we nog even de rechten goed zetten want het script zal alleen opstarten als het de juiste rechten heeft. typ nu het volgende:
[shell]# chmod 700 /usr/local/etc/rc.d/mxstream
[/shell]

Nu zou het na een reboot direct moeten werken. Probeer het even want dan kunnen we daarna het automatisch herstarten van de verbinding (na crash van pptp o.i.d.) gaan instellen.

[b]Automatisch herstarten als de verbinding crasht[/b]
Nu nog het automatisch herstarten van de verbinding. Als je mxstream.sh even bekene hebt dan heb je gezien dat er een start) stop) *) en een test) in staan‚ het gaat om de test.
door “mxstream.sh test” in te typen test je of de verbinding er nog is‚ en zo niet dan wordt
die opnieuw opgestart. Het kijkt naar 2 dingen en dat zijn de volgende:

[shell]/pptp.core of /root/pptp.core
/var/run/pptp/10.0.0.138
[/shell]

de eerste file ontstaat als de pptp client crasht en de locatie kan nogal verschillen. Om het te testen zet je gewoon even de modem uit en weer aan als je verbinding hebt. een pptp.core wordt dan ergens neergezet (waarschijnlijk in / of in /root). Pas dan het script aan naar de locatie waar die pptp.core komt te staan. Als je’m niet kan vinden gebruik dan het find commando:
[shell]# find / -name pptp.core -print
[/shell]

De tweede file (die /var/run/pptp/10.0.0.138) ontstaat als er verbinding is.
Als pptp client gewoon netjes afsluit als bijv. de verbinding wegvalt omdat er bij kpn iemand over een kabel struikelt‚ dan wordt die 10.0.0.138 weer weggehaald.

Het script met de ‘test’ optie kijkt dus naar die 2 dingen. Als 1 van die 2 niet klopt‚ dan wordt de verbinding opnieuw opgestart. Maar je hebt natuurlijk geen zin iedere minuut dat regeltje in te typen‚ dus dat gaan we in de crontab zetten. Typ (als root uiteraard):
[shell]# crontab -e
[/shell]

Je kan dan met via de crontab editen.
Ik ga er vanuit dat je de standaard commando’s in vi kent.
Typ het volgende regeltje:
[file]*/5 * * * * /usr/local/etc/rc.d/mxstream.sh test
[/file]

Dit zorgt er dan voor dat iedere 5 minuten het mxstream script gedraait wordt met ‘test’. Als de verbinding nu plat gaat wordt die vanzelf ook weer binnen 5 minuten opnieuw opgestart

[b]Andere Opmerkingen[/b]
Ik ben momenteel het mxstream.sh script nog een beetje aan het tweaken zodat je maar op 1 plaats hoeft aan te geven waar de pptp.core staat. dat scheelt een hoop editen.

Opmerkingen zijn welkom per email natuurlijk.
mailto:adsl-freebsd@xs4all.nl

Success!
[b]Bronnen:[/b]
[url]http://www.xs4all.nl/~possamai/adsl/pptp[/url]

Jailed Environment Project

by

Jailed Environment Project

Ik ben bezig met een omgeving op te zetten die onder een bestaande omgeving draait. Hierbij kan je iedereen root access geven zonder dat zij de bovenliggende omgeving kunnen beschadigen. Op deze manier kan je dus zorgen dat mensen hun eigen omgeving zo kunnen configureren als zij willen. Tevens kunnen ze binnen deze jail experimenteren en als het fout gaat kan de jail vrij snel terug gezet worden. Oftewel prutsen zonder het écht
te verprusten.

Bij dit project gaat het mij er om om een zo veilig mogelijke omgeving te bouwen.

Wil je mee doen met dit project‚ je eigen ervaringen met jail delen‚ stuur dan een mailtje naar jep@laagje.net of plaats commentaar onderaan deze howto.

In deze howto gaan we een omgeving opzetten die onder een bestaande omgeving draait. Zorg dat je een aantal films klaar hebt liggen want het opzetten duurt een tijd.

We gaan een directory maken waaronder alle jails die je wilt hebben komen. Tevens zetten we een variable waar in staat waar we de jail neer willen zetten.

[shell]
# mkdir /jails/
# mkdir /jails/jailnaam
# D=/jails/jailnaam
[/shell]

Het volgende wat we gaan doen is het aan maken van de file tree die op een normale omgeving ook aanwezig is‚ nu alleen binnen de jail. Daarna gaan we de sources compilen en op de juiste plek laten neerzetten. Nu kan je gerust een filmpje gaan kijken of een taart bakken als je niet zo’n super snel systeem hebt.

[shell]
# cd /usr/src
# make hierarchy DESTDIR=$D
# make obj
# make depend
# make all
# make install DESTDIR=$D
[/shell]

Nu gaan we de default configuratie files neerzetten in /jails/jailnaam/etc/ (dit wordt dus binnen de jail /etc/).

[shell]
# cd /usr/src/etc/
# make distribution DESTDIR=$D NO_MAKEDEV=yes
[/shell]

Nu gaan we de benodige devices aanmaken binnen de jail. Omdat de jail zelf ook wat restricties heeft moeten we aangeven dat het een jail betreft. Binnen een jail mag je bijvoorbeeld niet bovenliggende schijven mounten of fdisk gebruiken.

[shell]
# cd $D/DEV/
# cp /dev/MAKEDEV .
# sh MAKEDEV jail
[/shell]

Omdat de kernel van de bovenliggende omgeving gebruikt wordt‚ moeten we in dit geval /dev/null linken aan de kernel.

[shell]
# cd $D
# ln -sf dev/null kernel
[/shell]

Voordat we de jail kunnen starten moeten we aan het bovenliggende systeem nog een aantal dingen veranderen. Bij deze situatie ga ik er vanuit dat het base systeem ip 192.168.1.1 heeft en de jail 192.168.1.2 krijgt. Nu moeten we er voor zorgen dat 192.168.1.2 dedicated door de jail gebruikt kan worden. Ik laat even zien hoe je ervoor zorgt dat syslogd‚ named‚ inetd‚ mysql‚ apache en sshd op 192.168.1.1 luisteren en niet op de andere. Zelf moet je controleren dat er verder geen andere applicaties gebruik maken van het ip dat bedoelt is voor de jail.

De volgende configuratie bestanden moet je op het base systeem editten.

/etc/rc.conf

[file]
syslogd_flags=”-ss”
inetd_flags=”-wW -a 192.168.1.1″
[/file]

/etc/ssh/sshd_config

[file]
ListenAddress 192.168.1.1
[/file]

/etc/namedb/named.conf

[file]
options
{
listen-on { 192.168.1.1; };
}
[/file]

/usr/local/etc/rc.d/mysql-server.sh

[file]
start)
if [ -x /usr/local/bin/safe_mysqld ]; then
/usr/local/bin/safe_mysqld –user=mysql –bind-address=192.168.1.1 > /dev/null & && echo -n ‘ mysql$
fi
;;
[/file]

/usr/local/etc/apache/httpd.conf

[file]
Listen 192.168.1.1:80
[/file]

Nu gaan we de jail zelf configureren.
Als je het met de hand wilt doen kan dat‚ maar we kopieren voor de zekerheid even sysinstall naar de jail.

[shell]
# cp /stand/sysinstall /jails/jailnaam/stand/
[/shell]

Nu gaan we de jail voor de eerste keer starten maar voordat we dat doen zorgen we wel dat het ip dat de jail
moet gaan gebruiken aanwezig is.

[shell]
# ifconfig alias 192.168.1.2 netmask 255.255.255.0
[/shell]

Daar gaat ie:
[shell]
# jail $D jailnaam.domein 192.168.1.2 /bin/sh
[/shell]

Je komt nu in de jail binnen als root. Nu kan je beginnen met het configureren van de jail. Doe dit via /stand/sysinstall of handmatig. Vergeet niet ssh te configureren binnen de jail en een gebruiker toe te voegen!

Als je klaar bent gaan we de jail echt in de achtergrond laten draaien:
[shell]
# exit
# jail $D jailnaam.domain 192.168.1.2 /bin/sh /etc/rc
[/shell]

Nu draait de jail in de achtergrond. Probeer eens te ssh-en naar het jail ip!

Succes! Ik wil graag horen hoe jullie bevindingen zijn met jail. Als jullie vragen/ideeën of commentaar hebben hoor ik het graag!

Groeten‚

Laagje
Ook op IRC te vinden

Beheerders laks met het opwaarderen servers

by

Bron: [url=http://www.webwereld.nl]Webwereld[/url]

In juni werd er uitvoerig bericht over een bug in de serversoftware ‘Apache’ en over een fout in de Secure Socket Layer‚ kortweg SSL. SSL wordt gebruikt op webpagina’s van banken en online winkels om de verbinding te versleutelen. Dit zorgt ervoor dat de gegevens veilig over het internet verstuurd kunnen worden en niet onderschept kunnen worden.

[url=http://www.webwereld.nl/nieuws/12208.phtml]Het heke artikel[/url]

XS4ALL biedt alternatief voor MxStream

by

[url=http://www.webwereld.nl/]Webwereld[/url]

XS4ALL biedt vanaf vandaag adsl van BBned aan. Deze adsl-dienst zal tot acht keer sneller zijn dan de huidige adsl-diensten van XS4ALL. BBned dekt vrijwel hetzelfde gebied dat MxStream dekt. Klanten van de nieuwe dienst kunnen gebruik maken van ‘line-sharing’. Hierdoor is het mogelijk om de telefonie via KPN te laten verlopen.

[url=http://www.webwereld.nl/nieuws/12198.phtml]Het hele artikel[/url]

[FreeBSD] streaming MP3 server

by

Howto – streaming MP3 server.

IceCast is de server die ik hier zal gebruiken. Shoutcast is een andere‚ maar ik heb het idee dat die zich meer en meer focust op het windows platform‚ maar daar kan ik naast zitten.
[url]http://www.icecast.org/[/url]

IceCast is geschreven voor linux‚ en geport naar andere os-en. De verschillen met FreeBSD bevinden zich vnl. in de documentatie.
IceCast kan je op 3 manieren compileren‚ maar wij doen het volgens het beproefde recept.

[shell]# /usr/ports/audio/icecast && make install clean
[/shell]
FreeBSD compileert op deze manier met de optie –with-libwrap. zie de Makefile.

icecast installeert zich op 3 plaatsen.
1 – /usr/local/sbin/icecast
2 – /usr/local/etc/icecast/conf en /usr/local/etc/icecast/templates
3 – /usr/local/share/doc/icecast/manual.html

in die conf dir staan 4 bestanden‚ waarvan ik icecast.conf.dist kopieer
[shell]# cp /usr/local/etc/icecast/conf/icecast.conf.dist /usr/local/etc/icecast.conf
[/shell]
en open icecast.conf met je fav. tekst editor

de opties die je hier tegenkomt spreken allemaal voor zich en zijn allemaal zeer goed gedocumenteerd‚ derhalve zal ik ze niet stuk voor stuk behandelen.
enkele die een opmerking behoeven zijn:
– afhankelijk van je netwerk/internet-vebinding zal je de max. users in moeten stellen wil je de mp3`s luisteren ipv buffers vol en vooral leeg zien lopen
– server_name moet je een geldige domeinnaam geven. en als het niet anders kan je i.p.adres
– staticdir. hier geef je de dir op van je mp3`s

je kan nu IceCast opstarten met diverse opties. Ik kies ervoor om em op de achtergrond te laten draaien.

[shell]# /usr/local/sbin/icecast -b
[/shell]
wat nog rest zijn de beveiligings instellingen. je kan hiervoor de bestanden gebruiken in /usr/local/etc/icecast/conf of je maakt gebruik van tcp_wrappers in /etc/hosts.allow.

ok. nu draait IceCast‚ maar je hebt er nog niet zo veel aan. wat je nu nog nodig hebt is een encoder.
er zijn twee verschillende encoders. een die niets re-encode en alles eigenlijk doorgeeft wat ie in zijn handen krijgt en een die re-encode‚ waarbij streams naar lagere bitrates omgezet kunnen worden ten behoeve van de bandbreedte.
ik ga voor de eerste om 2 redenen.
1 – ik gebruik het op een alleen lokaal netwerk en heb met 100mbit genoeg bandbreedte.
2 – ik heb mijn geluidskaart nog niet geinstalleerd en weet niet zeker of ik die nodig heb voor re-encoden.
met een re-encoder is overigens veel meer mogelijk. je kan bv. reclame boodschappen broadcasten (“soup is good food!”) en geluid via je mic erdoor mixen (“Yo yo yo knakkerrrrrrrs”).
LiveIce heet ie. [url] http://star.arm.ac.uk/~spm/software/liveice.html[/url]

maar zoals gezegd: ik ga voor de eerste welke is shout.

[shell]# /usr/ports/audio/shout && make install clean
[/shell]
de binary komt hier. /usr/local/bin/shout
de conf bestanden komen bij IceCast in de directory te staan.
De enige die ons nu interesseert is /usr/local/etc/icecast/shout.conf.dist

[shell]# cp /usr/local/etc/icecast/shout.conf.dist /usr/local/etc/icecast/shout.conf
[/shell]
en open shout.conf met je fav. tekst editor.

alle opties zijn hier zonodig nog overzichtelijker en evengoed gedocumenteerd als icecast.conf.
ze spreken zo voor zich dat ik er niet op in kan gaan. daarbij zijn het vooral persoonlijke voorkeuren die zich hier laten gelden.
wat ik zelf dan belangrijk vind is 1 shuffle yes 2 daemon yes 1 om niet steeds diezelfde reeks aan te hoeven horen en 2 om geen console window in beslag te nemen.

rest nog de behoefte aan een playlist‚ die resideert als /usr/local/etc/icecast/shout.playlist
hierin zet je je mp3`s voorzien van absolute locatie. …eh bv
/mp3/toffemuziek/brintjespiers/crazy.mp3
/mp3/flauwedeuntjes/napalmdeath/yousuffer.mp3
etc..

nu opstarten maar
[shell]# /usr/local/bin/shout
[/shell]
als het goed is heb je nu een streaming mp3 server.
wat je als laatste nodig hebt is xmms of winamp om die stroom op te vangen en door je boxen heen te jagen.
open url: http://icecast.snodaards.nl:8000/ bv.

laatste opmerkingen:

IceCast kan je benaderen via een webinterface op poort 8000.
sowieso kan je veel doen via een httpserver.
zie de directory /usr/local/etc/icecast/templates voor meer informatie.

heb je commentaar‚ onjuistheden gezien etc. schroom niet te reageren.

Sarnix

FreeBSD Security Advisory FreeBSD-SA-02:38.signed-error

by

Bron: [url=http://www.bsdforums.org/forums/showthread.php?s=&threadid=2608]BSDForums[/url]

A few system calls were identified that contained assumptions that
a given argument was always a positive integer‚ while in fact the
argument was handled as a signed integer. As a result‚ the boundary
checking code would fail if the system call were entered with a
negative argument.

The affected system calls could be called with large negative
arguments‚ causing the kernel to return a large portion of kernel
memory. Such memory might contain sensitive information‚ such as
portions of the file cache or terminal buffers. This information
might be directly useful‚ or it might be leveraged to obtain elevated
privileges in some way. For example‚ a terminal buffer might include
a user-entered password.

[quote]*************************************
Date: Mon‚ 19 Aug 2002 05:56:23 -0700 (PDT)
From: FreeBSD Security Advisories
To: FreeBSD Security Advisories
Subject: FreeBSD Security Advisory FreeBSD-SA-02:38.signed-error

—–BEGIN PGP SIGNED MESSAGE—–

==================================================
===========================
FreeBSD-SA-02:38.signed-error Security Advisory
The FreeBSD Project

Topic: Boundary checking errors involving signed integers

Category: core
Module: sys
Announced: 2002-08-19
Credits: Silvio Cesare
Affects: All releases of FreeBSD up to and including 4.6.1-RELEASE-p10
Corrected: 2002-08-13 02:42:32 UTC (RELENG_4)
2002-08-13 12:12:36 UTC (RELENG_4_6)
2002-08-13 12:13:05 UTC (RELENG_4_5)
2002-08-13 12:13:49 UTC (RELENG_4_4)
FreeBSD only: YES

I. Background

The issue described in this advisory affects the accept(2)‚
getsockname(2)‚ and getpeername(2) system calls‚ and the vesa(4)
FBIO_GETPALETTE ioctl(2).

II. Problem Description

A few system calls were identified that contained assumptions that
a given argument was always a positive integer‚ while in fact the
argument was handled as a signed integer. As a result‚ the boundary
checking code would fail if the system call were entered with a
negative argument.

III. Impact

The affected system calls could be called with large negative
arguments‚ causing the kernel to return a large portion of kernel
memory. Such memory might contain sensitive information‚ such as
portions of the file cache or terminal buffers. This information
might be directly useful‚ or it might be leveraged to obtain elevated
privileges in some way. For example‚ a terminal buffer might include
a user-entered password.

IV. Workaround

None.

V. Solution

1) Upgrade your vulnerable system to 4.6.2-RELEASE or 4.6-STABLE;
or to any of the RELENG_4_6 (4.6.1-RELEASE-p11)‚ RELENG_4_5
(4.5-RELEASE-p19)‚ or RELENG_4_4 (4.4-RELEASE-p26) security branches
dated after the respective correction dates.

2) To patch your present system:

a) Download the relevant patch from the location below‚ and verify the
detached PGP signature using your PGP utility. The following patch
has been tested to apply to all FreeBSD 4.x releases.

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C…ned-error.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C…error.patch.asc

b) Apply the patch.

# cd /usr/src
# patch < /path/to/patch c) Recompile your kernel as described in
and reboot the system.

VI. Correction details

The following list contains the revision numbers of each file that was
corrected in FreeBSD.

Path Revision
Branch
– ————————————————————————-
src/sys/i386/isa/vesa.c
RELENG_4 1.32.2.1
RELENG_4_6 1.32.10.1
RELENG_4_5 1.32.8.1
RELENG_4_4 1.32.6.1
src/sys/kern/uipc_syscalls.c
RELENG_4 1.65.2.12
RELENG_4_6 1.65.2.9.6.1
RELENG_4_5 1.65.2.9.4.1
RELENG_4_4 1.65.2.9.2.1
src/sys/conf/newvers.sh
RELENG_4_6 1.44.2.23.2.16
RELENG_4_5 1.44.2.20.2.20
RELENG_4_4 1.44.2.17.2.25
– ————————————————————————-

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.0.7 (FreeBSD)

iQCVAwUBPWDpxFUuHi5z0oilAQHCWgP+PmomqbDBiBHKG6JWrx
8Kz8M6gnrg4omw
w/ vH5uK2lHGL6ZGecwvhJOTbV4bKXt1C1dKoUyA7WH7l9nQi+1Cr
ZwT/D5mkteU+
XEqtNfRhiaDokj/5I8MA0OM80+jryeAimxYDEi2vm315RIOMeR/sdP7m7H2vl9cZ
V8rt/2zD2wc=
=LpMd
—–END PGP SIGNATURE—–

This is the moderated mailing list freebsd-announce.
The list contains announcements of new FreeBSD capabilities‚
important events and project milestones.
See also the FreeBSD Web pages at http://www.freebsd.org

To Unsubscribe: send mail to majordomo@FreeBSD.org
with “unsubscribe freebsd-announce” in the body of the message
[/quote]